data.xml : 默认禁用 support-dtd

Question

根据 OWASP 建议定义[1]，"supporting-external-entities" 和 "support-dtd" 都应该默认禁用。
对于前者而言（但并未作为 0.0.8 版本的一部分发布），情况确实如此；而对于后者则不是。

我们是否可以将这两者都定义为 false 作为稳定版本的一部分呢？

[1]：https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#xmlinputfactory-a-stax-parser.

Answer 1

登录为 https://clojure.atlassian.net/browse/DXML-74

Answer 2

“稳定版”是否意味着非alpha版本或非SNAPSHOT版本？

Comments

根据README，稳定版为0.0.8，而预览版为0.2.0-alpha8。
我期望要么是一个包含两个参数禁用（因为这是一个安全问题）的0.0.9版本，要么在后面标记为新的稳定版本的0.2.0。